POLITYKA BEZPIECZEŃSTWA INFORMACJI
w
firmie BOGDAN ORLIK JACEK ORLIK PPHU AGROPAK S.C. z siedzibą w Magierowej Woli 45, 05-660 Warka numer NIP 7971864729.
Niniejsza Polityka bezpieczeństwa, zwana dalej Polityką, została sporządzona w celu wykazania, że dane osobowe są przetwarzane i zabezpieczone zgodnie z wymogami prawa, dotyczącymi zasad przetwarzania i zabezpieczenia danych w kancelarii, w tym z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO).
Definicje:
- Administrator danych: Bogdan Orlik i Jacek Orlik działający pod nazwą BOGDAN ORLIK JACEK ORLIK PPHU zwana dalej AGROPAK, Magierowa Wola 45, 05-660 Warka.
- Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej
- System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji narzędzi programowych zastosowanych w celu przetwarzania danych
- Użytkownik – osoba upoważniona przez administratora danych do przetwarzania danych osobowych
- Zbiór danych – każdy uporządkowany zestaw danych o charakterze osobowym, dostępny według określonych kryteriów
- Przetwarzanie danych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie w formie tradycyjnej oraz w systemach informatycznych
- Identyfikator użytkownika – ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym (Użytkownika) w razie przetwarzania danych osobowych w takim systemie
- Hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym (Użytkownikowi) w razie przetwarzania danych osobowych w takim systemie
- Uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu (Użytkownika).
- Postanowienia ogólne
- Niniejsza Polityka dotyczy wszystkich danych osobowych przetwarzanych AGROPAK niezależnie od formy ich przetwarzania (przetwarzane tradycyjnie zbiory ewidencyjne, systemy informatyczne) oraz od tego, czy dane są lub mogą być przetwarzane w zbiorach danych.
- Polityka jest przechowywana w wersji elektronicznej oraz w wersji papierowej w siedzibie Administratora: Magierowa Wola 45, 05-660 Warka.
- Polityka jest udostępniana do wglądu osobom posiadającym upoważnienie do przetwarzania danych osobowych na ich wniosek, a także osobom, którym ma zostać nadane upoważnienie do przetwarzania danych osobowych, celem zapoznania się z jej treścią.
- Dla skutecznej realizacji Polityki administrator danych zapewnia:
- a) odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne i rozwiązania organizacyjne,
- b) kontrolę i nadzór nad przetwarzaniem danych osobowych,
- c) monitorowanie zastosowanych środków ochrony.
- Monitorowanie przez administratora danych zastosowanych środków ochrony obejmuje m.in. działania użytkowników, naruszanie zasad dostępu do danych, zapewnienie integralności plików oraz ochronę przed atakami zewnętrznymi oraz wewnętrznymi.
- Administrator danych zapewnia, że czynności wykonywane w związku z przetwarzaniem i zabezpieczeniem danych osobowych są zgodne z niniejszą polityką oraz odpowiednimi przepisami prawa.
- Dane osobowe przetwarzane u administratora danych
- Dane osobowe przetwarzane przez administratora danych gromadzone są w zbiorach danych.
- Administrator danych nie podejmuje czynności przetwarzania, które mogłyby się wiązać z poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i wolności osób. W przypadku planowania takiego działania Administrator wykona czynności określone w art. 35 i nast. RODO.
- W przypadku planowania nowych czynności przetwarzania administrator dokonuje analizy ich skutków dla ochrony danych osobowych oraz uwzględnia kwestie ochrony danych w fazie ich projektowania.
- Administrator danych prowadzi rejestr kategorii czynności przetwarzania. Wzór rejestru kategorii czynności przetwarzania stanowi Załącznik nr 1 do niniejszej polityki.
III. Obowiązki i odpowiedzialność w zakresie zarządzania bezpieczeństwem
- Wszystkie osoby zobowiązane są do przetwarzania danych osobowych zgodnie z obowiązującymi przepisami i zgodnie z ustaloną przez administratora danych Polityką Bezpieczeństwa, a także w zakresie nieprzekraczającym posiadanego upoważnienia.
- Wszystkie dane osobowe są przetwarzane z poszanowaniem zasad przetwarzania przewidzianych przez przepisy prawa:
- a) W każdym wypadku występuje chociaż jedna z przewidzianych przepisami prawa podstaw dla przetwarzania danych.
- b) Dane są przetwarzane rzetelnie i w sposób przejrzysty.
- c) Dane osobowe zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami.
- d) Dane osobowe są przetwarzane jedynie w takim zakresie, jaki jest niezbędny dla osiągnięcia celu przetwarzania danych.
- e) Dane osobowe są prawidłowe i w razie potrzeby uaktualniane.
f ) Czas przechowywania danych jest ograniczony do okresu ich przydatności do celów, do których zostały zebrane, a po tym okresie są one anonimizowane bądź usuwane.
- g) Wobec osoby, której dane dotyczą, wykonywany jest obowiązek informacyjny zgodnie z treścią art. 13 i 14 RODO.
- h) Dane są zabezpieczone przed naruszeniami zasad ich ochrony.
- Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony danych osobowych uważa się w szczególności:
- a) naruszenie bezpieczeństwa systemów informatycznych, w których przetwarzane są dane osobowe, w razie ich przetwarzania w takich systemach;
- b) udostępnianie lub umożliwienie udostępniania danych osobom lub podmiotom do tego nieupoważnionym;
- c) zaniechanie, choćby nieumyślne, dopełnienia obowiązku zapewnienia danym osobowym ochrony;
- d) niedopełnienie obowiązku zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia;
- e) przetwarzanie danych osobowych niezgodnie z założonym zakresem i celem ich zbierania;
- f) spowodowanie uszkodzenia, utraty, niekontrolowanej zmiany lub nieuprawnione kopiowanie Danych osobowych;
- g) naruszenie praw osób, których dane są przetwarzane.
- W przypadku stwierdzenia okoliczności naruszenia zasad ochrony danych osobowych Użytkownik zobowiązany jest do podjęcia wszystkich niezbędnych kroków, mających na celu ograniczenie skutków naruszenia i do niezwłocznego powiadomienia administratora danych.
- Do obowiązków administratora danych w zakresie zatrudniania, zakończenia lub zmiany warunków zatrudnienia pracowników lub współpracowników (osób podejmujących czynności na rzecz administratora danych na podstawie innych umów cywilnoprawnych) należy dopilnowanie, by:
- a) pracownicy byli odpowiednio przygotowani do wykonywania swoich obowiązków,
- b) każdy z przetwarzających dane osobowe był pisemnie upoważniony do przetwarzania zgodnie z „Upoważnieniem do przetwarzania danych osobowych”– wzór Upoważnienia stanowi Załącznik nr 2 do niniejszej Polityki Bezpieczeństwa,
- c) każdy pracownik zobowiązał się do zachowania danych osobowych przetwarzanych w kancelarii w tajemnicy. „Oświadczenie i zobowiązanie osoby przetwarzającej dane osobowe do zachowania tajemnicy” stanowi element „Upoważnienia do przetwarzania danych osobowych”.
- Pracownicy zobowiązani są do:
- a) ścisłego przestrzegania zakresu nadanego upoważnienia;
- b) przetwarzania i ochrony danych osobowych zgodnie z przepisami;
- c) zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia;
- d) zgłaszania incydentów związanych z naruszeniem bezpieczeństwa danych
oraz niewłaściwym funkcjonowaniem systemu.
- Obszar przetwarzania danych osobowych
- Obszar, w którym przetwarzane są dane osobowe na terenie AGROPAK obejmuje pomieszczenia biurowe zlokalizowane w siedzibie administratora, Magierowa Wola 45,05-660 Warka w strefie niedostępnej dla klientów.
- Dodatkowo obszar, w którym przetwarzane są dane osobowe, stanowią wszystkie komputery przenośne oraz inne nośniki danych znajdujące się poza obszarem wskazanym powyżej.
- Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych
- Administrator danych zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności, rozliczalności i ciągłości przetwarzanych danych.
- Zastosowane środki ochrony (techniczne i organizacyjne) powinny być adekwatne do stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów i kategorii danych. Środki obejmują:
- a) Ograniczenie dostępu do pomieszczeń, w których przetwarzane są dane osobowe, jedynie do osób odpowiednio upoważnionych. Inne osoby mogą przebywać w pomieszczeniach wykorzystywanych do przetwarzania danych jedynie w towarzystwie osoby upoważnionej.
- b) Zamykanie pomieszczeń tworzących obszar przetwarzania danych osobowych określony w pkt. IV powyżej na czas nieobecności pracowników, w sposób uniemożliwiający dostęp do nich osób trzecich.
- c) Wykorzystanie zamykanych szafek do zabezpieczenia przechowywanych dokumentów.
- d) Wykorzystanie niszczarki do skutecznego usuwania dokumentów zawierających dane osobowe.
- e) Ochronę sieci lokalnej przed działaniami inicjowanymi z zewnątrz przy użyciu sieci firewall.
f ) Wykonywanie kopii awaryjnych danych na przez uprawnionego pracownika lub administratora.
- g) Ochronę sprzętu komputerowego wykorzystywanego u administratora przed złośliwym oprogramowaniem.
- h) Zabezpieczenie sprzętu komputerowego za pomocą haseł dostępu.
- Naruszenia zasad ochrony danych osobowych
- W przypadku stwierdzenia naruszenia ochrony danych osobowych administrator dokonuje oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.
- W każdej sytuacji, w której zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych, administrator zgłasza fakt naruszenia zasad ochrony danych organowi nadzorczemu bez zbędnej zwłoki – jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Wzór zgłoszenia określa załącznik nr 3 do niniejszej polityki.
- Jeżeli ryzyko naruszenia praw i wolności jest wysokie, administrator zawiadamia o incydencie także osobę, której dane dotyczą.
VII. Powierzenie przetwarzania danych osobowych
- Administrator danych osobowych może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej, zgodnie z wymogami wskazanymi dla takich umów w art. 28 RODO i tylko jeżeli są to dane, które może ujawnić bez naruszenia lekarskiej tajemnicy zawodowej.
- Przed powierzeniem przetwarzania danych osobowych administrator w miarę możliwości uzyskuje informacje o dotychczasowych praktykach procesora dotyczących zabezpieczenia danych osobowych.
VIII. Przekazywanie danych do państwa trzeciego
Administrator danych osobowych będzie przekazywał dane osobowe do państwa trzeciego, tylko w następujących przypadkach:
- osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którymi może się dla niej wiązać proponowane przekazanie, wyrazi na nie wyraźną zgodę;
- przekazanie jest niezbędne do wykonania umowy zawartej z osobą, której dane dotyczą;
- przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, której dane dotyczą;
- przekazanie jest niezbędne ze względu na posiadane roszczenia.
- Postanowienia końcowe
- Za niedopełnienie obowiązków wynikających z niniejszego dokumentu pracownik
ponosi odpowiedzialność na podstawie Kodeksu pracy, Przepisów o ochronie danych osobowych oraz Kodeksu karnego w odniesieniu do danych osobowych objętych tajemnicą zawodową.
- Integralną część niniejszej Polityki bezpieczeństwa stanowią następujące Załączniki:
Załącznik nr 1
Wzór: Rejestr kategorii czynności przetwarzania danych osobowych
Nazwa oraz dane kontaktowe Administratora
|
BOGDAN ORLIK JACEK ORLIK PPHU AGROPAK S.C.
Magierowa Wola 45, 05-660 Warka |
Opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych
|
|
Cele przetwarzania danych osobowych
|
|
Kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych
|
|
Informacja o przekazywaniu danych osobowych do państwa trzeciego
|
|
Planowane terminy usunięcia poszczególnych kategorii danych | |
Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa
|
Załącznik nr 2
Wzór: UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH
Data nadania upoważnienia:
UpowaŻnienie do przetwarzania danych osobowych
w Zakładzie bogdan orlik jacek orlik pphu agropak s.c.
- Upoważniam Panią/Pana:
zatrudnionego na stanowisku:
do dostępu do:
Zbioru danych:
- Upoważnienie obowiązuje do odwołania, które potwierdzane jest poprzez odnotowanie na niniejszym formularzu przez osobę reprezentującą ADO.
Wystawił: ……………………………………………………………………………………………..
(data i podpis w imieniu Administratora Danych Osobowych)
- Osoba upoważniona do przetwarzania danych, objętych zakresem, o którym mowa wyżej, jest zobowiązana do zachowania ich w tajemnicy, również po ustaniu zatrudnienia oraz zachowania w tajemnicy informacji o ich zabezpieczeniu.
Data i podpis osoby upoważnionej: ………………………………………………………………………………………
Wzór: Upoważnienie – część Oświadczenie
Magierowa Wola, dnia………………………. r.
…………………………………………………………………………………
(imię i nazwisko osoby upoważnionej)
…………………………………………………………………………………..
(stanowisko)
Oświadczam, że – w związku z wykonywaniem przeze mnie prac na rzecz firmy BOGDAN ORLIK JACEK ORLIK PPHU AGROPAK S.C. i upoważnieniem mnie do Przetwarzania danych osobowych – zostałem/łam zapoznany/a ze stosownymi przepisami i standardami ochrony danych osobowych, zobowiązuję się do przestrzegania:
Przepisów o ochronie danych osobowych, w tym Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Polityki Bezpieczeństwa informacji w firmie BOGAN ORLIK JACEK ORLIK PPHU AGROPAK S.C.
W związku z powyższym zobowiązuję się do:
- zapewnienia ochrony danych osobowych przetwarzanych w zbiorach administratora, a w szczególności zapewnienia ich bezpieczeństwa przed udostępnianiem osobom trzecim i nieuprawnionym, zabraniem, uszkodzeniem oraz nieuzasadnioną modyfikacją lub zniszczeniem,
- zachowania w tajemnicy, także po zaprzestaniu wykonywania prac,
- natychmiastowego zgłaszania do Administratora Danych zaobserwowania próby lub faktu naruszenia zabezpieczenia fizycznego pomieszczenia, bezpieczeństwa zbioru/zbiorów lub systemów informatycznych.
………………………………………………………………………………………………
[podpis pracownika/współpracownika]
Załącznik 4
Wzór: Protokół naruszenia
Magierowa Wola, dnia………. r.
Prezes Urzędu Ochrony Danych Osobowych
ZGŁOSZENIE INCYDENTU NARUSZENIA OCHRONY DANYCH OSOBOWYCH
Działając na podstawie art. 33 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), niniejszym zgłaszam zajście incydentu naruszenia ochrony danych osobowych.
Dane Administratora Danych Osobowych
Miejsce i dzień naruszenia
Kategoria i przybliżona liczba osób, których dane dotyczą
Opis charakteru naruszenia ochrony danych
Możliwe konsekwencje naruszenia ochrony danych
Środki zastosowane w celu zminimalizowania ewentualnych negatywnych skutków naruszenia ochrony danych
…………………………………………..
Podpis osoby zgłaszającej naruszenie